"Semua proses perusahaan tidak dapat dibayangkan hari ini tanpa TI. Perkembangan pesat di sektor teknologi dan tantangan pasar global berarti TI menjadi semakin penting ketika berhadapan dengan transaksi bisnis yang kompleks. Terlepas dari pentingnya, TI biasanya merupakan faktor yang diperlukan tetapi tidak cukup dalam realisasi tujuan perusahaan dan oleh karena itu terkena upaya outsourcing.
Hal ini berlaku khususnya bagi bank yang usahanya memerlukan pengolahan informasi. Banyak proses operasional perbankan pada dasarnya hanya terstruktur dan berulang, sehingga sangat cocok untuk otomatisasi. Proses otomatisasi ini dimulai pada 1960-an dengan pembentukan sistem mainframe untuk memproses data massal.
Hal ini menunjukkan betapa pentingnya TI dalam seluruh rantai nilai sebuah bank. Namun, peluang yang muncul melalui penggunaan solusi TI modern seperti layanan web diimbangi oleh risiko.
Ketergantungan pada TI dan meningkatnya kompleksitas sistem dan jaringan menimbulkan bahaya baru dalam pencapaian tujuan perusahaan, sehingga auditor harus menghadapinya. Risiko muncul tidak hanya dari penggunaan TI, tetapi dari outsourcing.
Arsitektur sistem generik bank sangat cocok untuk outsourcing. Ini pada dasarnya terdiri dari tiga sistem: pusat data, cabang, dan saluran penjualan langsung. Itulah sebabnya bank lebih awal untuk mengalihdayakan layanan departemen TI ke pusat data, yang sering dijalankan di anak perusahaan bank. Karena ini tentang outsourcing proses teknologi informasi dan komunikasi, orang berbicara tentang outsourcing TI.
Namun, bagi auditor perusahaan outsourcing, hal ini menghasilkan aspek tambahan yang harus diperhitungkan. Menurut International Standards on Auditing (ISA), yang diterbitkan oleh IFAC (International Federation of Accountants, diharuskan menilai pengaruhnya terhadap lingkungan pengendalian perusahaan yang akan diaudit. ISA 402 "Pertimbangan Audit Berkaitan dengan Entitas yang Menggunakan Organisasi Layanan" dibuat khusus untuk kasus outsourcing.
Menurut ini, auditor harus menilai sejauh mana proses dan aktivitas yang dialihdayakan relevan dan penting bagi akuntansi perusahaan yang akan diaudit dan tujuan auditnya dan bagaimana pengaruhnya terhadap penilaian risikonya sehubungan dengan sistem pengendalian internal (ICS), didirikan oleh perusahaan yang akan diaudit.
Jika jasa yang dibeli relevan dan signifikan dan jika auditor ingin mengandalkan efektivitas pengendalian di area yang dialihdayakan berdasarkan pendekatan audit berorientasi risiko, maka menurut SA 402 memiliki tiga pilihan:
[1] Auditor perusahaan outsourcing meninjau kontrol yang telah dilakukan oleh perusahaan outsourcing pada kegiatan outsourcing.
[2] Auditor perusahaan outsourcing melakukan prosedur audit langsung di perusahaan jasa.
[3] Auditor perusahaan outsourcing meminta laporan dari auditor organisasi jasa tentang kecukupan dan efektivitas sistem pengendalian internal.